Konfigurowanie dostawców uwierzytelniania

Edycja w trybie z połączeniem

Należy skonfigurować adapter przy użyciu jednego z dostawców uwierzytelniania, który jest obsługiwany przez aplikację WWW Microsoft SharePoint . Dostawcy uwierzytelniania mogą być domenami AD lub dostawcą roszczeń.

W poniższych tabelach znajduje się lista obsługiwanych serwerów Microsoft SharePoint , trybów uwierzytelniania i dostawców uwierzytelniania dla kont udostępnianych z adaptera IBM Security Verify Microsoft SharePoint .

Tabela 1. Obsługiwane serwery Microsoft SharePoint , tryby uwierzytelniania i dostawcy uwierzytelniania dla udostępnionych kont
Wersja serwera Tryb uwierzytelniania dostawca uwierzytelniania
Microsoft SharePoint 2013 i Microsoft SharePoint 2016
  1. Tryb klasyczny
  2. Uwierzytelnianie oparte na roszczeniach (NTLM)
  1. Zintegrowany system Windows (AD)
  2. Uwierzytelnianie oparte na formularzach (FBA)

Informacje o dostawcach uwierzytelniania są przechowywane w pliku konfiguracyjnym, który jest w formacie JSON. Adapter odczytuje ten plik i uzgadnia listę dostawców uwierzytelniania jako dane pomocnicze.

Plik konfiguracyjny musi mieć tylko pojedynczą tablicę JSON. Każdy dostawca uwierzytelniania jest składowany jako element obiektu JSON w tablicy z następującymi kluczami:
  • DisplayName
  • NameOfOriginalIssuer
  • IssuerType
  • Typ ClaimsValue
  • ClaimsType
  • Przedrostek
Przykład pliku konfiguracyjnego z informacjami na temat dostawców uwierzytelniania.
Uwaga: białe znaki zostały dodane do czytelności.
[
	{
		"DisplayName" : "Windows Authentication (EXAMPLEDOMAIN)",
		"NameOfOriginalIssuer" : "EXAMPLEDOMAIN",
		"IssuerType" : "w",
		"ClaimsValueType" : ".",
		"ClaimsType" : "#",
		"Prefix" : "i:0#.w|EXAMPLEDOMAIN"
	}, 
	{
		"DisplayName" : "Some Membership Provider",
		"NameOfOriginalIssuer" : "SomeMembershipProvider",
		"IssuerType" : "f",
		"ClaimsValueType" : ".",
		"ClaimsType" : "#",
		"Prefix" : "i:0#.f|SomeMembershipProvider|"
	}, 
	{
		"DisplayName" : "Example ACS",
		"NameOfOriginalIssuer" : "Example ACS",
		"IssuerType" : "t",
		"ClaimsValueType" : ".",
		"ClaimsType" : "5",
		"Prefix" : "i:05.t|Example ACS|"
	}
]
Tabela 2. Dostawcy uwierzytelniania wymienione w przykładzie
Element obiektu JSON w poprzednim przykładzie dostawca uwierzytelniania
Element #1 Dostawca uwierzytelniania systemu Windows
Element #2 Dostawca uwierzytelniania oparty na formularzach, który używa nazwy logowania do łańcucha jako wartości Claims Value
Element #3 Zaufany dostawca tożsamości, który używa wiadomości e-mail jako wartości roszczeń
Pełne wyjaśnienie poprawnych wartości dla właściwości IssuerType, NameOfOriginalIssuer, ClaimsValuei ClaimsTypezawiera dokument Microsoft SharePoint Products and Technologies Protocol Documentation. Z czterema wartościami jest to następnie trywialna, aby utworzyć przedrostek. Jeśli serwis działa w aplikacji WWW do uwierzytelniania w trybie klasycznym, plik konfiguracyjny zwykle wygląda podobnie jak w poniższym przykładzie:
[
	{
		"DisplayName" : "EXAMPLEDOMAIN",
		"NameOfOriginalIssuer" : "",
		"IssuerType" : "",
		"ClaimsValueType" : "",
		"ClaimsType" : "",
		"Prefix" : "EXAMPLEDOMAIN"
	}
]

Generowanie pliku konfiguracyjnego

Dostępny jest skrypt Powershell, który pomaga w generowaniu pliku konfiguracyjnego.

Uruchom skrypt na serwerze SharePoint z uprawnieniami administratora w wierszu komend:
powershell authprovimport.ps1 -WebApplication http://[sharepointserver]:[port] 
	-SaveAs [filename.json]

Skopiuj plik konfiguracyjny do położenia na serwerze, na którym działa usługa Dispatcher adaptera. Na przykład zapisz plik w folderze TDI_HOME\timsol\SharePointAdapter . Utwórz folder adaptera SharePoint, jeśli nie istnieje.

Konfiguracja serwisu SharePoint

Jeśli serwis Microsoft SharePoint jest skonfigurowany z innym uwierzytelnianiem (na potrzeby uwierzytelniania Exmaple, Form-Based Authentication), nadal możemy zarządzać serwisem przy użyciu adaptera za pomocą podstawowego uwierzytelniania lub uwierzytelniania NTLM.

Aby upewnić się, że adapter współpracuje z serwisem Microsoft SharePoint , zaleca się wykonanie poniższych kroków.

  1. Rozszerz program SharePoint Web Application na nowy serwis WWW IIS.
  2. Skonfiguruj dostawcę uwierzytelniania dla nowo rozszerzanego serwisu.
    1. Zaznacz pole wyboru Włącz uwierzytelnianie systemu Windows.
    2. Zaznacz pole wyboru Zintegrowane uwierzytelnianie systemu Windows (NTLM) /Uwierzytelnianie podstawowe.
      Uwaga: Ta opcja konfiguracyjna zależy od uwierzytelniania, z którym adapter zostanie skonfigurowany w produkcie IBM Security Verify Governance Identity Manager lub IBM Security Verify Governance.
  3. Skonfiguruj nowy serwis WWW IIS dla SSL.
  4. Zaimportuj certyfikat SSL do magazynu zaufanych certyfikatów programu Adapter Dispatcher (wyświetl plik IDI_HOME/timsol/solution.properties i wyszukaj właściwość javax.net.ssl.trustStore , aby określić położenie pliku zaufanych certyfikatów).

Bardziej szczegółowe instrukcje można znaleźć w dokumentacji programu Microsoft SharePoint .

Ważne: Podstawowe uwierzytelnianie zawiera informacje autoryzacyjne, które są wysyłane w postaci jawnego tekstu. Zaleca się skonfigurowanie adaptera w taki sposób, aby komunikował się z produktem SharePoint over Secure Sockets Layer (SSL) w celu zabezpieczenia referencji.